情報セキュリティ

基本的な考え方

関西エアポートグループ(以下、当グループ)は、お客さまが安心・快適にご利用いただける空港運営をするにあたって、さまざまな情報を取り扱っています。しかしながら、ネットワークへの不正アクセス、自然災害及び人為的な作業ミスなどの脅威により、これらの重要な情報が被害を受ける可能性が増大しています。
そのような状況の中、当グループはさまざまな脅威から重要な情報資産を保護することを目的とした情報セキュリティポリシーを定め、企業の情報資産に必要な情報セキュリティ対策を実施することにより、経営の安全性の確保、社会の信頼、及び顧客満足の獲得・向上に努めています。

情報セキュリティ基本方針

  1. 情報資産の取り扱い
    • 情報資産の管理方法、及び管理責任者を定め、情報資産を適切に取り扱います。
  2. 情報セキュリティ対策の実施
    • 情報資産を脅威から保護するため、「人的対策」「物理的対策」「技術的対策」により、セキュリティ対策を実施します。
  3. 情報セキュリティ意識の向上
    • 社員等に対して情報セキュリティに関する教育を定期的に実施します。また、社員等は自ら情報セキュリティに関する意識の向上に努めます。
  4. 法令及び情報セキュリティポリシー等の遵守
    • 社員等は情報セキュリティに関係する法令・指針、諸外国が定める法規制等、その他の関係する契約、及び情報セキュリティポリシーを遵守します。
  5. 情報セキュリティ事故への対応
    • 情報セキュリティ事故が発生した場合は、速やかに必要な措置をとるとともに、原因等を分析し、再発防止策を講じます。
  6. 情報セキュリティポリシーの評価および見直し
    • 情報セキュリティを取り巻く環境の変化や、情報セキュリティポリシーの遵守状況など考慮し、情報セキュリティポリシーがその実効性を維持するよう、定期的に評価及び見直しを行います。

推進体制

最高責任者(CEOs)による統括

当グループにおける情報セキュリティは、CEOsが最高責任者として統括します。

グループ情報セキュリティ委員会の設置

全社的な情報セキュリティ体制の強化を目的として、グループ情報セキュリティ委員会を設置しています。本委員会は、CEOsを委員長とし、監査部門を含む各事業部門の責任者が委員として参画することで、組織横断的な視点から情報セキュリティに関する方針・対策の審議・承認を行います。

各部門・グループ会社への担当者の配置

各部門及びグループ会社に「情報セキュリティ担当者」を配置し、現場レベルでのセキュリティ対策を推進します。

インシデント対応のための専門組織の設置

情報セキュリティを統括・推進するチームとして「情報セキュリティ事務局」、サイバーセキュリティに特化したチームとして「KAP-CSIRT」を設置し、情報セキュリティに関するインシデントの予防を円滑に行います。

具体的な取り組み

グループ情報セキュリティ委員会の開催

グループ全体でセキュリティ対策を推進するための施策や、情報セキュリティに関するインシデント発生時の再発防止策を審議・承認するために、定期的に委員会を開催し、継続的な改善と強固なセキュリティ体制の構築をめざしています。

情報の取り扱い

情報の適正な管理を目的として、情報の取り扱いに関するガイドラインを策定しています。これに基づき、社員が情報を適切に分類し、各分類に応じた管理・運用を徹底しています。

サイバーセキュリティ

当グループのサイバーセキュリティは、IT本部のKAP-CSIRTが中心となり推進しています。

主な取り組み

脆弱性対応

  • リスクマネジメントの一環として、さまざまな脅威や脆弱性情報を収集、評価、分析し、当グループにとってリスクの高い事象にも的確に対処し、許容できる範囲に抑えるよう活動を行っています。また、当グループのインフラやシステムに脆弱性がないか、定期的な評価を行っています。

防護基盤の導入、監視、改善

  • 当グループのインフラやシステムに不審な事象が起きていないか監視し、対策の有効性の検証や運用上の課題抽出、改善の取り組みなどを行っています。

社内外における情報連携

規制当局や社外ステークホルダー、当グループの関係者との協力・連携を強化し、緊急時の連携や知見の共有を推進しています。

インシデント対応

当グループでは、平常時より情報セキュリティインシデントの発生防止を重視した運営を徹底しており、万一インシデントが発生した場合には、インシデント対応ガイドラインに則り、迅速かつ的確な対応を実施します。さらに、当グループの危機管理体制のもと、被害の最小化および影響範囲の抑制に取り組みます。

従業員の意識向上

当グループの全従業員を対象としたフィッシングメール訓練や、役職に応じた対応を学ぶe-learning、具体的なサイバー攻撃を題材にしたサイバーセキュリティ演習などを定期的に実施しています。

主な取り組み

昨今、ランサムウェアやフィッシング攻撃、DDoS攻撃など、サイバー攻撃の手口はますます高度化・巧妙化しています。当グループでは、こうした脅威に対する備えとして、実践的なサイバーセキュリティ演習を定期的に実施しています。本演習では、実際に起こり得るサイバー攻撃を想定し、適切な状況把握および情報連携、危機管理体制の発動、空港運用に関わる業務復旧など、適切な対処ができるかを検証しています。今後も、あらゆる情報セキュリティリスクの備えとして、全社員の意識改革と対応力の強化を図るため、さまざまなケースを想定した訓練・演習を継続的に実施します。

今後の取り組み

より強固なセキュリティ体制の確立をめざして

関西エアポートグループは、情報セキュリティの強化を企業活動の根幹に位置づけ、空港をご利用いただくお客さま及びステークホルダーの皆さまに、安全かつ安心なサービスを提供することを最優先の責務と考えています。 サイバー攻撃の高度化・巧妙化が進み、情報セキュリティのリスクが高まる中で、当グループでは、技術的対策の導入に加え、社員一人ひとりのセキュリティ意識の向上にも注力し、組織全体でセキュリティ体制の強化に取り組んでいます。 今後も、情報セキュリティに関する取り組みを通じて、あらゆる脅威やリスクに対し、柔軟かつ迅速に対応できる体制の強化に努めてまいります。